之前我們已經(jīng)了解安全審計(jì)打造固若金湯的數(shù)據(jù)堡壘系列文章（一），（二），（三）的部分了。第四本分我們還將繼續(xù)為您介紹安全審計(jì)方面的內(nèi)容，包括審計(jì)特權(quán)、用戶、登錄定義和其它安全特性的變更等內(nèi)容。

審計(jì)特權(quán)、用戶、登錄定義和其它安全特性的變更

這類審計(jì)對(duì)于數(shù)據(jù)庫(kù)的審計(jì)來說是必須的；你必須對(duì)數(shù)據(jù)庫(kù)安全和特權(quán)的任何變更維持一套完整的審計(jì)記錄。數(shù)據(jù)庫(kù)管理著安全、許可、變更的復(fù)雜規(guī)劃，在安全問題中的首要規(guī)則是，必須審計(jì)安全形勢(shì)的任何變更?？紤]審計(jì)下面的這些變更：

1、增加和刪除用戶、登錄、角色等

2、登錄和用戶(角色)之間的映射關(guān)系發(fā)生變更

3、特權(quán)變更（無論是由用戶還是由角色引起的）

4、口令變更

5、在服務(wù)器、數(shù)據(jù)庫(kù)、語句或?qū)ο笏缴蠈?duì)安全屬性的變更

由于數(shù)據(jù)庫(kù)內(nèi)的安全模式是一個(gè)入口，所以必須審計(jì)對(duì)特權(quán)和許可的任何變更。攻擊者會(huì)經(jīng)常提升其特權(quán)水平，而且在管理員提供了錯(cuò)誤的許可、授權(quán)后也經(jīng)常出現(xiàn)錯(cuò)誤。因而，對(duì)可能影響數(shù)據(jù)庫(kù)安全狀況的所有變更都進(jìn)行完整的審計(jì)，就如同將監(jiān)視攝像機(jī)放置在大樓的入口處一樣，必須審計(jì)登錄憑證是否發(fā)生變化。

安全許可的變更對(duì)數(shù)據(jù)庫(kù)極其重要，僅依賴于每天的比較是不夠的，應(yīng)該選擇實(shí)時(shí)變更通知,即實(shí)時(shí)審計(jì)那些沒有在生產(chǎn)環(huán)境中提前規(guī)劃的變更。這意味著你應(yīng)當(dāng)使用一種外部的數(shù)據(jù)庫(kù)安全和審計(jì)系統(tǒng)，或者使用內(nèi)置的數(shù)據(jù)庫(kù)機(jī)制所生成的審計(jì)線索來構(gòu)建實(shí)時(shí)的警告。

如果你打算自己實(shí)施這種系統(tǒng)，就需要捕獲相關(guān)事件，然后構(gòu)建警告框架。例如，下表顯示了可用于SQL Server的相關(guān)事件。

在DB2中，SECMAINT是六類審計(jì)之一，在授權(quán)和撤消對(duì)象或數(shù)據(jù)庫(kù)特權(quán)時(shí)，或者在許可和撤消DBADM權(quán)限時(shí)，會(huì)生成記錄。在修改數(shù)據(jù)庫(kù)管理員的安全配置參數(shù)（SYSADM_GROUP、SYSCTRL_GROUP、 SYSMAINT_GROUP）時(shí)，也會(huì)生成記錄。下表列示了一些可能的SECMAINT的特權(quán)或授權(quán)：

在這種情況下，你可以建立一組希望用于跟蹤的命令。如下圖所示。

然后將規(guī)則（相關(guān)規(guī)則顯示在下圖中）添加到策略中，在使用這種命令時(shí)向安全管理人員發(fā)出警告。策略中的規(guī)則確保了安全管理人員能收到關(guān)于這種命令的警告，但即使沒有規(guī)則，你仍能獲得完整的審計(jì)線索，這種線索包括用戶組中發(fā)生的任何命令。

審計(jì)數(shù)據(jù)庫(kù)鏈接以及數(shù)據(jù)庫(kù)副本的創(chuàng)建、變更、利用

與前面幾種審計(jì)不同，對(duì)鏈接、同義詞或昵稱的審計(jì)以及對(duì)創(chuàng)建副本過程的審計(jì)都表明，定期析出和比較數(shù)據(jù)已經(jīng)足夠了。雖然你有三個(gè)選擇：比較快照，使用數(shù)據(jù)庫(kù)的內(nèi)部審計(jì)機(jī)制，使用外部審計(jì)和安全系統(tǒng)。但實(shí)際上，使用diff這個(gè)小工具就足以應(yīng)對(duì)。這種情形下，你只需一段能夠查詢這些定義的腳本，并將這些定義放在一個(gè)可用于與未來的某天進(jìn)行比較的文件中。

如果你喜歡使用內(nèi)部的數(shù)據(jù)庫(kù)審計(jì)機(jī)制或使用外部的審計(jì)系統(tǒng)，就得將這些審計(jì)線索建立在對(duì)象和命令上。在多數(shù)數(shù)據(jù)庫(kù)環(huán)境中，沒有專門的副本和鏈接的審計(jì)功能。不過，你仍有許多特定的審計(jì)對(duì)象和命令。例如，你可以使用與副本有關(guān)的SQL Server對(duì)象。 

【編輯推薦】

1. 智恒SAS運(yùn)維安全審計(jì)系統(tǒng)打造安全I(xiàn)T資源堡壘
2. 新一代運(yùn)維安全產(chǎn)品智恒SAS運(yùn)維安全審計(jì)系統(tǒng)
3. 透過韓國(guó)農(nóng)協(xié)銀行事件再談數(shù)據(jù)庫(kù)安全
4. 8步輕松實(shí)現(xiàn)整體數(shù)據(jù)庫(kù)安全
5. 認(rèn)識(shí)數(shù)據(jù)庫(kù)安全威脅　保護(hù)數(shù)據(jù)安全（1）